Утечка информации стала серьёзной угрозой бизнесу. «Слив» конфиденциальных данных порой приносит намного более существенные финансовые потери, чем действия конкурентов. Зачастую её источником оказывается инсайдер компании, имеющий легальный доступ к коммерческим секретам. Что же такое инсайдерская угроза и как с ней бороться?
И ты, Брут...
Конкурентная борьба породила необходимость держать деловую информацию «под замком». Но там, где есть спрос, найдутся и желающие его удовлетворить. Сегодня десятки компаний сталкиваются с утечкой конфиденциальных сведений. Но эта проблема имеет один неприятный нюанс: чаще всего информация утекает через инсайдеров — лиц, хорошо знакомых с работой компании. К ним относят сотрудников, в силу своего служебного положения имеющих легальный доступ к секретам компании, а также их родственников. Последние получают сведения из-за элементарного несоблюдения сотрудниками правил безопасности или личной беспечности.
Нередко конфиденциальные данные вытекают от обиженных сотрудников, имеющих личные мотивы. Как видим, в большинстве случаев основной причиной утечки информации становится пресловутый «человеческий фактор».
Наибольший интерес для конкурентов представляет интеллектуальная собственность компании. Базы клиентов, поставщики и партнёры, ноу-хау — это далеко не полный список желанных сведений. Чтобы заполучить их, они идут на различные уловки — начиная от краж и заканчивая подкупом или шантажом сотрудников, имеющих доступ к инсайдерской информации. Но и сами сотрудники бываю хороши. Наверное, мало найдётся компаний, где никто никогда не терял служебных бумаг, ноутбуков или не отправлял по «мылу» важное письмо не тому адресату. Её величество халатность правит сегодня ещё во многих офисах!
В результате, компанию постигает «неожиданная» потеря клиентов или наработанных рынков, а нередко и финансов. Это вынуждает бизнес искать способы защиты секретных сведений даже от собственных сотрудников.
И снова человеческий фактор
Уменьшить потери от утечки инсайдерской информации вполне возможно. Для этого нужно соблюдать некоторые правила безопасности и вовремя обнаруживать потенциальных «кротов». При этом важно оставаться в рамках закона и этических норм, иначе все действия могут превратиться в «охоту на ведьм».
Действовать нужно комплексно. Прежде всего, это проверенные временем юридические инструменты: инструкции, подписки о неразглашении, регистрация торговой марки и т. п.
Следует поработать и с персоналом, но выдумывать здесь ничего не нужно. Можно взять за основу международный стандарт безопасности ISO 17799, касающийся управления персоналом. Он содержит правила приёма и увольнения сотрудников, а также меры воздействия на нарушителей. Используя эти правила, можно взять под контроль человеческий фактор, избежать типичных ошибок и предупредить утечку информации.
И, конечно, в вопросах безопасности не обойтись без специальных возможностей современных технологий. Как свидетельствует практика, утечка информации в подавляющем большинстве случаев происходит «электронным» путём. ІТ-технологии предоставляют средства контроля и предупреждения утраты информации. Это специальное программное обеспечение, ограничения на пользование отдельными ресурсами, ужесточение мер по аутентификации пользователей корпоративной сети.
Сегодня есть много способов защитить компанию от инсайдерских «подстав». Но, увы, ни один из них не сможет дать стопроцентной гарантии, пока в цепочке присутствует человек.
Ставлю на лояльность!
Безусловно, меры по защите информации зачастую воспринимаются сотрудниками весьма болезненно. Ощущать над собой постоянный «колпак» службы безопасности не очень приятно и действует на нервы. Но преодолеть эти моменты может разъяснительная работа и поощрение бдительности. Это не должно превратиться в банальное «стукачество», но взаимный контроль в таких случаях — очень действенное оружие.
Наблюдать за действиями пользователей с помощью специальных программ — вполне оправданно. При этом подконтрольных сотрудников не посвящают в тонкости мониторинга их действий. Это хорошая профилактика утечки данных, но она требует крайней осторожности. Такие меры не должны нарушать законные права сотрудников. Если доказуемые признаки угрозы отсутствуют, служба безопасности не имеет права скрыто проверять действия сотрудников, их личную и служебную почту — даже с точки зрения служебной этики. Иначе можно испортить отношения и потерять лояльность законопослушных членов коллектива.
Понятно, что с дальнейшим развитием IT-сферы и проникновением её во все бизнес-процессы будут появляться и всё новые и новые способы кражи информации, опережающие возможности их технического обнаружения и пресечения. И если компания не будет работать над созданием в коллективе климата взаимного доверия и лояльности, «человеческий фактор» победит любые находки технического прогресса. Поэтому я бы поставил на профилактику, и ещё — на поощрение взаимного доверия и лояльности «человеческого фактора».
Zavarnik